IT部門が従業員の社内機器へのアクセスとダウンロードを厳格に管理することは、極めて重要です。従業員が好きなウェブサイトに自由にアクセスしたり、サードパーティ製アプリケーションを制限なくネットワークに持ち込んだりすることは、災難を招くことは誰もが知っています。少なくとも、ITセキュリティの世界では長年、それが主流の考え方でした。
しかし、ビジネスを最適化するためにクラウドベースのアプリケーションを利用する人が増えるにつれ、シャドー IT の概念は現代の職場においてますます重要なツールになりつつあります。
調査によると、調査対象となった専門家の77%が、シャドーITソリューションの導入によって組織がメリットを得られると考えていることが分かりました。シャドーITとは、組織のIT部門の直接的な承認を得ずにITサービス、デバイス、アプリケーション、システム、ソフトウェアを使用する慣行を指します。しかしながら、このアプローチを全面的に導入することには依然として躊躇する声も上がっており、組織はシャドーITを全面的に導入するかどうかを決定する前に、メリットとリスクを比較検討する必要があります。
非公認の解決策の時代
外部のシステムやアプリケーションに必ずしも欠陥があったり、直接的な脅威となるとは限りませんが、シャドーITを活用するということは、従業員が何を利用し、何にアクセスしているかを明確に監視することを放棄することを意味します。これは組織にとって重大なリスクをもたらす可能性があります。
しかし、シャドーITを活用することで業務の効率化につながることもあります。例えば、従業員がマーケティングキャンペーンを実施するためのより効果的なマーケティングツールを発見し、それが成功すれば他の部署のメンバーにも広がり、将来的に重要なツールとなる可能性があります。
参照: シャドー IT ポリシー (TechRepublic Premium)
現代はクラウドベースのアプリケーションの時代であり、ソフトウェア調達を担当するIT部門が提供するシステムやアプリケーションにのみアクセスできる時代ではなくなりました。そのため、シャドーITのメリットを享受したいのであれば、ネットワークを保護するためのソリューションを特定する必要があります。ここでゼロトラストが重要になります。
ゼロトラストの課題
2010年にForrester Researchがこのモデルを提唱して以来、ゼロトラストは、組織がデジタル資産を保護し、いわゆる「悪質なシャドーIT」の悪影響を克服するために、進化するリスクを継続的に管理・軽減するためのガイダンスを提供できることが実証されています。しかしながら、ゼロトラストは組織に多くのリスクをもたらし、そのリスクがプラスの効果を上回ることも少なくありません。
ゼロトラストを採用する場合、オペレーターは信頼できる動作を完全に確保するために、常にあらゆるものを未知のエンティティとして扱う必要があります。一方で、ゼロトラストは、構造化され、しばしば制限が多く効果のない境界ベースのセキュリティモデルと比較して、サイバー脅威を阻止または制限する効率的な手段を提供します。
また、システムやアプリケーションへのサイバーセキュリティ実装においてリスクベースのアプローチを確保し、企業ネットワークの状況を詳細に把握することで、特定のリソースのみを監視し、アクセスを許可することができます。さらに、ハイブリッドワークフォースの増加に伴い、オフィスでも自宅でも特定のリソースにアクセスする必要性はかつてないほど高まっています。ゼロトラストにより、従業員はどこからでも安全に企業ネットワークにアクセスできるようになります。
ただし、ゼロ トラストのネットワークを確立するには、ネットワークを安全に運用するために対処しなければならない一連の課題があります。
ゼロトラスト・プログラムを長期的に実装するには、アプリケーション、デバイス、ネットワーク、データ資産、アクセス権、ユーザーなどのリソースを詳細に把握し、組織がサポートのための財務的および非財務的リソースを保有していることが求められます。さらに、新しいセキュリティアーキテクチャを導入する理由について、経営陣とサイバーチームの間で組織内で明確なコミュニケーションが図られている必要があります。
不適切なシャドーITの影響
ゼロトラスト・プログラムを実行するための適切なリソースが整っていても、不適切なシャドーITは組織のネットワークインフラに深刻なリスクをもたらす可能性があります。ITチームが管理するバックアップとリカバリ手順ほど外部のバックアップとリカバリ手順に配慮が払われていないと、インシデント発生時に重要なデータが失われる可能性があります。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
これに対処するのは、リソースを運用する従業員または部門の責任です。必要なバックアップとリカバリ戦略がなければ、データが失われる可能性が高まり、多くの場合、頻繁なトレーニングが必要になる可能性があります。
IT部門は、シャドーITによってリソースに誰がアクセスしているかを制御できません。従業員がアクセスできないべき特定のデータであっても、退職したにもかかわらずシステムにアクセスできた元従業員であっても、誰がアカウントを保有し、そのアカウントで何ができるかを制御できません。そのため、データの監視はますます困難になり、深刻な侵害があったかどうかを示す指標はほとんど得られません。
脆弱性管理プラットフォームを導入してシャドーITを有効活用する
信頼できる脆弱性管理プラットフォームを活用することが、ゼロトラスト・アプローチに頼ることなくシャドーITのメリットを享受するための鍵となります。このようなプラットフォームは組織のネットワークをプロアクティブにスキャンするため、資産が侵入した場合、承認済みか未承認かを問わず、稼働中のすべてのシステムとアプリケーションを検出し、ネットワーク内の最も脆弱なリスクに対処するための適切な手順を提示します。脆弱性はいつ発生するか分かりません。そのため、ネットワークを常にプロアクティブにスキャンすることで、資産を継続的に把握し、管理することができます。
もちろん、技術的資産をカバーするのは良いことです。しかし、人的資産を考慮に入れなければ、組織はリスクを効果的に管理しているとは到底言えません。データ侵害の82%は人的ミスによって発生しているため、資産リスクを効率的に管理するには、組織がサイバーセキュリティを評価する際に人的要素を考慮する必要があります。
組織は、ゼロ トラストなどの制限的な対策を採用するのではなく、シャドー IT が適切に実行される限り、シャドー IT を採用できます。
ホルム・セキュリティのCMO、クラウス・ニールセン氏
スウェーデンのストックホルムに本社を置くHolm Securityは、2015年に設立され、脆弱性管理サービスを提供しています。同社は、官民合わせて750社以上の顧客に利用されています。
